4 Einrichten von Benutzern
Größe: px
Ab Seite anzeigen:

Download "4 Einrichten von Benutzern"

Transkript

1 Einrichten von Benutzern 4 Einrichten von Benutzern In diesem Kapitel lernen Sie: Benutzer mit Hilfe von Administrationstools einzurichten Benutzer von Hand einzurichten Die Benutzer-Datenbankdateien/etc/passwd,/etc/shadow und/etc/group kennen Jede Datei hat eine Benutzer- sowie Gruppenzugehörigkeit. Anhand der aktuellen UID und GID eines Benutzers ergibt sich folglich, ob beim Zugriff die Eigentümerrechte (Klasseusers), Gruppenrechte (Klassegroup) oder Weltrechte (Klasseothers) gelten. Um nun Benutzer anzulegen, gibt es einige Kommandozeilen-Tools, die den Vorzug haben, unter jeder Oberfläche und Linux-Distribution verfügbar zu sein und eine sehr schnelle Handhabung zu ermöglichen. Darüber hinaus ist es leicht, mit Shell-Skripten ganze Datenbanken von Benutzern anzulegen, zu ändern oder zu löschen. Für Einsteiger leichter zu bedienen sind selbstredend die intuitiven, menübasierten Administrationsprogramme, die jedoch langsamer, aufwendiger, bei jeder Distribution anders und überdies nicht skriptfähig sind. Die Oberfläche ist weitgehend selbsterklärend. Linux Benutzeradministration Benutzer anlegen: useradd Benutzer Benutzer löschen: userdel Benutzer Benutzer ändern: Paßwort ändern: usermod passwd Benutzer Benutzer Gruppe anlegen: Gruppe löschen: Gruppe ändern: groupadd groupdel groupmod Gruppe Gruppe Gruppe Grp. Paßwort ändern: gpasswd Gruppe Menübasierte Administration: SuSE: yast RedHat: redhat config users 70

2 4.1 Menübasierte Benutzeradministration 4.1 Menübasierte Benutzeradministration Fedora/RedHat verwendet auf der grafischen Oberfläche den User Manager system-config-users: SuSE Das Administrations-Tool von SuSE, YAST2, kann man sowohl als texbasiertes Tool unter der Konsole mit dem Befehlyast aufrufen, als auch als graphische (X11) Anwendung. Unter Sicherheit und Benutzer Benutzer bearbeiten und anlegen, kann man mit Hinzufügen z.b. Benutzer anlegen. 71

3 Einrichten von Benutzern 4.2 Die Datei/etc/passwd Die Datei /etc/passwd ist die Benutzerdatenbank. Zum manuellen Editieren dieser Datei sollte man das Kommando vipw verwenden. Dies garantiert den exklusiven Zugriff auf die Datei, so daß während des Editierens niemand anderes, z.b. das Kommando chsh, Schreibzugriff bekommt. Auf diese Weise können Inkonsistenzen vermieden werden. Beispiel: root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin: daemon:x:2:2:daemon:/sbin: adm:x:3:4:adm:/var/adm: lp:x:4:7:lp:/var/spool/lpd: sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail: news:x:9:13:news:/var/spool/news: uucp:x:10:14:uucp:/var/spool/uucp: operator:x:11:0:operator:/root: games:x:12:100:games:/usr/games: gopher:x:13:30:gopher:/usr/lib/gopher-data: ftp:x:14:50:ftp User:/home/ftp: nobody:x:99:99:nobody:/: xfs:x:100:101:x Font Server:/etc/X11/fs:/bin/false gdm:x:42:42::/home/gdm:/bin/bash kring:x:500:500:matthias Kring:/home/kring:/bin/bash Die durch einen Doppelpunkt getrennten Felder haben folgende Bedeutung: 72

4 4.2 Die Datei/etc/passwd Feld 1 Feld 2 Feld 3 Feld 4 Feld 5 Feld 6 Feld 7 Der Benutzername. Aus Kompatibilitätsgründen sollte man keine Großbuchstaben und höchstens 8 Zeichen verwenden. Bei manchen Versionen steht an dieser Stelle das verschlüsselte Paßwort. Aus Sicherheitsgründen werden diese bei Linux meist jedoch in die Datei/etc/shadow geschrieben; dann steht hier nur einx. Je nach Konfiguration können hier, durch Kommata getrennt, zusätzliche Informationen, z.b. über die Gültigkeitsdauer des Paßwortes, vermerkt sein. Auch dies wird in der Regel jedoch über die /etc/shadow verwaltet. Hier steht die numerische User-ID. Der User 0 ist der Superuser. Niedrige Nummern sind reserviert für bestimmte Applikationen oder systeminterne Accounts. Echte Benutzer sollte man erst ab UID 500 eintragen. Die höchstmögliche ID ist Die numerische Gruppen-ID. Die Gruppen werden in/etc/group verwaltet. Die Standardgruppe für normale Benutzer ist die Gruppe users. Ab RedHat 6.1 wurde dort das Konzept der UPG (User Private Group) eingeführt (s. später). Das Kommentarfeld enthält zum Beispiel den vollen Benutzernamen. Das Kommando finger wertet zusätzliche, durch Kommata getrennte Felder als Zimmernummer, Telefonnummer dienstlich und privat. Diese Informationen kann jeder Benutzer mit dem Kommandochfn ändern. Je nach Konfiguration können hier auch einige Shellparameter, z.b. die initialeumask, gesetzt werden. Der absolute Pfadname des Login-Directory (Home-Directory). Meist als/home/benutzername angelegt. Absoluter Pfadname der Login-Shell. Dieses Feld kann durch den Benutzer mit dem Kommandochsh verändert werden. Hinweis: Beim Zugriff auf Ressourcen wird intern immer die UID verwendet, nicht der Name. Das kann zu Nebeneffekten führen: Zum Beispiel sei eine Diskette mit einem Dateisystem versehen. Herr Müller mit der UID 523 kopiert Dateien auf die Diskette. In den Inodes steht die UID 523. Die Diskette wird in einem anderen System eingelesen, auf dem die UID 523 an Frau Meier vergeben ist. Damit gehören die Dateien mit UID 523 automatisch Frau Meier. Eine User-ID kann zum Beispiel nach dem Löschen eines Accounts wiederverwendet werden. Diese Vorgehensweise wird nicht empfohlen. 73

5 Einrichten von Benutzern 4.3 Die Datei/etc/shadow In vielen Unix- und Linux-Systemen steht das verschlüsselte Kennwort des Benutzers im zweiten Feld der Datei /etc/passwd. Obwohl der verwendete Verschlüsselungsalgorithmus sehr stark ist, liegt hier doch ein Sicherheitsrisiko vor, denn die Datei /etc/passwd kann von jedem gelesen werden. Deshalb wird bei vielen Linux-Distributionen automatisch das Paket shadow mitinstalliert. In diesem Fall stehen die Kennwörter in der Datei /etc/shadow. Diese ist nur von root und der Gruppe shadow lesbar. In der Datei/etc/passwd steht im Paßwort- Feld lediglich einx. Außerdem sind in der Datei /etc/shadow Informationen über die Gültigkeit des Kennwortes vermerkt. Diese werden mit dem Kommando chage eingestellt. Der normale Benutzer kann mit dem Befehlchage -l Benutzername die für ihn zutreffenden Einstellungen abfragen. Die jeweiligen Optionen des Kommandos chage sind in der nachfolgenden Erklärung der einzelnen Felder angegeben. Je nach Version kann man die Shadow-Datei auch manuell mit dem Kommando vipw -s bearbeiten. Beispiel: root:olmgfbe80d0yy:10998:0:99999:7::: bin:*:10998:0:99999:7::: daemon:*:10998:0:99999:7::: adm:*:10998:0:99999:7::: lp:*:10998:0:99999:7::: sync:*:10998:0:99999:7::: shutdown:*:10998:0:99999:7::: halt:*:10998:0:99999:7::: mail:*:10998:0:99999:7::: news:*:10998:0:99999:7::: uucp:*:10998:0:99999:7::: operator:*:10998:0:99999:7::: games:*:10998:0:99999:7::: gopher:*:10998:0:99999:7::: ftp:*:10998:0:99999:7::: nobody:*:10998:0:99999:7::: xfs:!!:10998:0:99999:7::: gdm:!!:10998:0:99999:7::: kring:$1$psgh/pwt$nkks3gaznpxlrwxqc3rpg.:10998:0:99999:7:-1:-1:

6 4.3 Die Datei/etc/shadow Die Felder haben folgende Bedeutung: Feld 1 Feld 2 Feld 3 Feld 4 Feld 5 Feld 6 Feld 7 Der Benutzername Das verschlüsselte Kennwort Durch die Möglichkeit, mit Hilfe von PAM (Pluggable Authentication Modules, OpenGroup RFC 86.0), verschiedene Algorithmen zu implementieren und zu verwenden, kann dieses Feld Zeichen enthalten. Ändern mitpasswd Datum der letzten Paßwortänderung Hier steht die absolute Zahl der Tage seit dem Ändern mit:chage -d z. B.chage -d meier oderchage -d "1999/12/31" meier minimale Paßwortlebensdauer Anzahl der Tage, nach denen frühestens das Paßwort geändert werden darf. Ändern mit:chage-m z. B.chage -m 5 meier Maximale Paßwortlebensdauer Anzahl der Tage, nach denen das Kennwort geändert werden muß. Ändern mit:chage-m z. B.chage -M 90 meier Ablaufwarnung Vor Ablauf des Kennworts erhält der Benutzer eine entsprechende Warnung. Angegeben wird die Anzahl der Tage vor dem Ablauf, an dem die Warnung erstmalig ausgegeben wird. Ändern mit:chage-w z. B.chage -W 10 meier Verfallsdatum Anzahl der Tage nach Ablauf des Kennworts. Nach dieser Frist wird der Account gesperrt (Inactive). Ändern mit:chage-i z. B.chage -I 5 meier 75

7 Einrichten von Benutzern Feld 8 Absolutes Verfallsdatum Zahl der Tage seit dem An diesem Tag wird der Account grundsätzlich gesperrt, unabhängig von den Paßworteinstellungen (Expire). Ändern mit:chage-e z.b. chage -E meier oder chage -E "2000/12/31" meier Feld 9 reserviert Beispiel: # grep meier /etc/shadow meier:dileximtucq9y:11000:0:10000:::: # chage -l meier Minimum: 0 Maximum: Warning: -1 Inactive: -1 Last Change: Feb 13, 2000 Password Expires: Never Password Inactive: Never Account Expires: Never # chage -d m 5 -M 90 -W 10 -I 5 -E meier # grep meier /etc/shadow meier:dileximtucq9y:10956:5:90:10:5:11322: # chage -l meier Minimum: 5 Maximum: 90 Warning: 10 Inactive: 5 Last Change: Dec 31, 1999 Password Expires: Mar 30, 2000 Password Inactive: Apr 04, 2000 Account Expires: Dec 31, 2000 # 76

8 4.4 Die Datei/etc/group Z Hinweis: Wenn die minimale Lebensdauer größer als die maximale ist, kann der Benutzer sein Kennwort nicht ändern. 4.4 Die Datei/etc/group In der Datei /etc/group wird festgelegt, zu welchen Gruppen ein Benutzer gehört. Die Standardgruppe für normale Benutzer ist bei den meisten Linux-Versionen die Gruppeusers. Auch für die Gruppendatei läßt sich ein Shadow-Mechanismus aufsetzen, der aber selten Anwendung findet. Die Gruppendatei ist ähnlich wie, aber einfacher aufgebaut als die Paßwortdatei: root:x:0:root bin:x:1:root,bin,daemon daemon:x:2: tty:x:5: disk:x:6: lp:x:7:... users:x:100: nogroup:x:65534:root projekt::101:kring,meier Darin bedeuten: Feld 1 Gruppenname Feld 2 Gruppenpaßwort (wird nur selten gesetzt und vom Kommando newgrp benutzt) Feld 3 Eindeutige Gruppennummer (GID) Wie bei der UID gibt es hier vordefinierte Gruppen mit niedrigen Nummern. Die Gruppeusers hat meist die ID 100. Eigene Gruppen sollten entsprechend höhere IDs bekommen. Feld 4 Durch Kommata separierte Liste der Benutzer Ein Eintrag ist möglich aber nicht notwendig, wenn es sich um die primäre Gruppe des Benutzers handelt. Die Benutzerkring undmeier sind zum Beispiel in der Gruppe projekt aufgeführt, nicht aber in der Gruppeusers, da dies ihre primäre Gruppe ist. Das Konzept der benutzereigenen Gruppen bei Fedora/RedHat Bei Fedora/RedHat- Linux wurde das Konzept der benutzereigenen Gruppen (UPG, User Private Groups) eingeführt, um so ein konsequenteres Arbeiten auf Gruppen- oder Projektebene unter Berücksichtigung der Sicherheitsaspekte zu erreichen. 77

9 Einrichten von Benutzern Folgende Prinzipien werden dabei verwendet: Jeder Benutzer hat seine eigene Hauptgruppe, in der er das einzige Mitglied ist. Diese Gruppe wird beim Einrichten des Benutzers erzeugt und hat denselben Namen wie der Benutzer. Zusätzlich werden Arbeitsgruppen eingerichtet, denen die jeweiligen Mitglieder in der Datei/etc/group zugewiesen werden. Für gemeinsam benutzte Arbeitsverzeichnisse, z.b. von Projektgruppen, werden diese der jeweiligen Gruppe zugeeignet und das SGID-Bit auf das Verzeichnis gesetzt. Werden in einem solchen Verzeichnis Dateien angelegt, so erben sie automatisch die Gruppenzugehörigkeit der Gruppe. Werden Unterverzeichnisse angelegt, so erben diese die Gruppenzugehörigkeit sowie das SGID-Bit. Dieumask wird nicht wie üblich auf022 gesetzt, sondern auf002. Damit können Dateien von allen Gruppenmitgliedern bearbeitet werden. Das gilt auch für die Home-Directories, da dort die UPG des Benutzers wirksam ist. Diese Umstellung der Standardzugriffsrechte erfolgt abhängig von der Benutzer- ID, und von der Übereinstimmung von UID und GID. (Siehe/etc/profile) Auf diese Weise wird sichergestellt, daß in projektbezogenen Verzeichnissen jedes Mitglied einer Projektgruppe automatisch Zugriff auf die Dateien hat, ohne daß man bei jeder neuen Datei von Hand die Gruppenrechte und den Zugriffsschutz anpassen muß. 78

10 4.5 Kommandos zur Benutzer- und Gruppenverwaltung 4.5 Kommandos zur Benutzer- und Gruppenverwaltung Folgende Übersicht zeigt verschiedene Kommandos zum Verwalten von Benutzern und Gruppen auf Kommandozeilenebene: useradd Einrichten neuer Accounts (s. nächste Seite) usermod Modifizieren eines Accounts userdel Accounts löschen groupadd Gruppen anlegen groupmod Modifizieren von Gruppen groupdel Gruppen löschen passwd Benutzerpasswörter setzen passwd -g Gruppenpasswörter setzen vipw Editieren der Paßwortdatei mit exklusivem Schreibrecht gpasswd Administration der Gruppendatei chage Ändern der Gültigkeit eines Accounts newgrp Wechsel in eine andere Gruppe pwck Prüft die Paßwortdateien auf Integrität grpck Prüft die Gruppendateien auf Integrität pwconv, Konvertieren von Paßwort- und Shadowdateien pwunconv, grpconv, grpunconv id Informationen über Account und Gruppenzugehörigkeit su switch user; Wechsel der Identität whoami Ausgabe der effektiven UID who am i Ausgabe der realen UID Einige dieser Kommandos werden nachfolgend ausführlicher betrachtet. useradd Das Kommandouseradd dient zum schnellen Einrichten neuer Benutzer. Syntax: useradd [Optionen] user Dabei können folgende Optionen verwendet werden: 79

11 Einrichten von Benutzern -c Legt den Text für das Kommentarfeld fest. -d Legt das Startverzeichnis des Benutzers fest. Standardvorgabe:/home/Benutzername -e Legt fest, wann das Benutzerkonto ungültig wird. Das Datum muß im Formatmm/tt/jjjj angegeben werden. -f Anzahl der Tage zwischen Ablauf des Paßworts und Sperrung des Accounts -g Legt die Hauptgruppe für den Benutzer fest. Standardvorgabe: 100 (users) -G Es können weitere Gruppen, getrennt durch Kommata, genannt werden. -m Das Home-Directory des Benutzers wird angelegt, und die Vorlagen für die Initialisierungsdateien werden aus dem Verzeichnis /etc/skel kopiert. -p Erlaubt die Voreinstellung eines Paßworts. Es muß das bereits verschlüsselte Wort angegeben werden. Mit-p "" wird ein leeres Kennwort vergeben. Standardvorgabe: Ungültiges Paßwort. Der Account ist gesperrt, und wird erst durch die Vergabe eines gültigen Paßwortes benutzbar. -s Legt die Login-Shell fest. Standardvorgabe:/bin/bash -u Legt die UID fest. Standardvorgabe: die nächsthöhere ID wird verwendet. -D erlaubt das Ändern der Vorgaben (in der Datei /etc/default/useradd) Beispiel: # useradd -m -u 800 -e 02/29/2000 meier Tip: In der Datei/etc/login.defs werden konfiguriert: Die Standardwerte, mit denen Benutzer angelegt werden sollen; die Rahmendaten für die Benutzerverwaltung, wie etwa die UIDs und GIDs, zwischen denen Benutzer angelegt werden sollen; Standardvorgaben für Homeverzeichnis, Paßwortalterung und vieles mehr. Siehe dazu die gleichnamige Man-Page. usermod Mit diesem Kommando kann man nachträglich Einstellungen eines Benutzeraccounts verändern. Die Optionen sind die gleichen wie beiuseradd. Hinzu kommt die Option-l, mit der man den Namen ändern kann: # usermod -l neuername altername 80

12 4.6 Die Initialisierungsdateien userdel Durch Angabe der Option -r wird auch das komplette Homedirectory des Benutzers entfernt. # userdel -r meier groupadd Die für die neue Gruppe gewünschte GID kann explizit angegeben werden, sonst wird die nächsthöhere verwendet. # groupadd -g 120 projekt 4.6 Die Initialisierungsdateien Im Verzeichnis /etc/skel befinden sich Vorlagen für alle gängigen Initialisierungsdateien. Die Initialisierungsdateien sind zumeist Shell-Skripte, in denen Variablen und ähnliche Dinge gesetzt werden. Bei Aufruf von useradd -m Benutzer werden alle diese Vorlagen (inklusive eventuell vorhandener Unterverzeichnisse) aus dem Verzeichnis /etc/skel in das Home-Directory des Benutzers übertragen. Dabei werden automatisch die Zugriffsrechte gesetzt. Der Systemverwalter hat also die Möglichkeit, durch Änderung einer Vorlagendatei Environmentvariablen, Aliase usw. vorzubelegen, so daß diese für alle neuen Benutzer übernommen werden. Die wichtigsten Initialisierungsdateien sind die der Shells: sh Wenn die bash als sh in der Paßwort-Datei eingetragen ist, wird das Verhalten der Bourne-Shell simuliert. Es werden dann folgende Initialisierungsdateien verwendet: 1. Die systemweite Datei/etc/profile 2. Die private Datei $HOME/.profile bei SuSE bzw. $HOME/.bash profile bei Fedora/RedHat Wird diebash unter dem Namensh interaktiv aufgerufen, wird ausgeführt: eine beliebige, durch die VariableENV spezifizierte Datei 81

13 Z Z Einrichten von Benutzern bash Diebash selber, in der Paßwort-Datei als/bin/bash eingetragen, verwendet folgende Dateien in der genannten Reihenfolge (falls vorhanden): 1. Die systemweite Datei/etc/profile 2. /.bash profile (Fedora/RedHat) 3. /.bash login 4. /.profile (SuSE) 5. /.bash logout beim Ausloggen Hinweis: Diese Dateien werden aber nur gelesen, wenn es sich dabei um eine Login- Shell handelt! Wird diebash nicht als Login-Shell verwendet, greift sie auf folgende Dateien zu: 1. /.bashrc 2. eine beliebige, durch die VariableBASH ENV spezifizierte Datei Hinweis: finiert. In dieser Datei werden üblicherweise Shell-Aliase, d.h. Abkürzungen, de- 82

14 4.7 Privilegierte Kommandoausführung 4.7 Privilegierte Kommandoausführung su Das Arbeiten unter dem Account root setzt ein konzentriertes und verantwortungsbewußtes Arbeiten voraus, denn als root genießt man mächtige Sonderrechte und kann durch eine kleine, unbedachte Aktion sehr großen Schaden anrichten. Deshalb wird grundsätzlich empfohlen, den Superuser-Account nur dann zu benutzen, wenn es für administrative Zwecke, z.b. das Einrichten neuer Geräte, notwendig ist. Vielmehr sollte man sich unter seinem normalen Benutzernamen anmelden, und erst bei Bedarf mit Hilfe von su zur UID 0 wechseln. Das Kommandosu (switch user) erlaubt es grundsätzlich, jede beliebige UID anzunehmen, sofern man deren Paßwort kennt. Der Superuser benötigt kein Kennwort, um auf andere IDs zu wechseln. Die Syntax vonsu: # su [-] [username] Durchsu wird dann eine neue Shell unter der geforderten ID gestartet. Die Option - bzw.-l bewirkt, daß sich diese Shell wie eine Login-Shell verhält, d.h. die Inititalisierungsdateien des betreffenden Users werden abgearbeitet. Wenn man keinen Usernamen angibt, wirdroot angenommen. Z Hinweis: Das Kommando whoami zeigt die dann effektive UID, während who am i die reale UID kennt. Die Shell wird wie gewohnt mitexit bzw. Ctrl - D beendet. Jeder Aufruf vonsu wird in/var/log/messages protokolliert sudo Auf einem größeren System möchte man manchmal administrative Aufgaben, z.b. die Durchführung eines Backups, auf andere Benutzer übertragen, ohne diesen jedoch gleich das Superuser-Kennwort zu geben. Mit Hilfe des Kommandos sudo kann man solche Aufgaben sehr dezidiert verteilen. Es können Hostgruppen, Usergruppen und Kommandogruppen gebildet und kombiniert werden, oder es wird einfach einem bestimmten Benutzer ein einzelnes Kommando erlaubt. 83

15 Einrichten von Benutzern Die Konfigurationsdatei/etc/sudoers wird mit dem Hilfsprogramm visudo bearbeitet. Dadurch bekommt man exklusives Schreibrecht auf die Datei, und nach dem Editieren wird eine Syntaxüberprüfung der Einträge vorgenommen. Ein einfaches Beispiel: Die Datei/etc/sudoers # sudoers file. # # This file MUST be edited with the visudo command as root. # # See the man page for the details on how to write a sudoers file. # # Host alias specification # User alias specification # Cmnd alias specification Cmnd_Alias USERADM=/usr/sbin/user*,/usr/sbin/group*,/usr/sbin/pwck Cmnd_Alias SPECIAL=/sbin/yast # User privilege specification root ALL=(ALL) ALL mueller LINUX=NOPASSWD: ALL,!SPECIAL meier LINUX=USERADM,/usr/sbin/vipw Erklärung: Das Kommando-Alias USERADM faßt die Kommandos zur Benutzerverwaltung zusammen. User meier darf auf dem Rechner LINUX diese Kommandos und vipw benutzen. User mueller darf auf dem Rechner LINUX alle administrativen Kommandos außeryast benutzen.yast ist im AliasSPECIAL eingetragen, das Rufzeichen (!) bezeichnet den Ausschluß. mueller benötigt kein Kennwort zum Benutzen der Kommandos, meier muß jedoch sein Paßwort eingeben. 84

16 4.7 Privilegierte Kommandoausführung Der Aufruf durch den Benutzermeier sieht dann z.b. folgendermaßen aus: $ sudo /usr/sbin/useradd -m -u 520 schmidt Tip: Zur Vereinfachung empfiehlt sich die Benutzung von Alias-Definitionen in der Shell, z.b. bei meier: alias useradd="sudo /usr/sbin/useradd", indem man diese Zeile in die Datei /.bashrc einträgt. 85

17 Einrichten von Benutzern 4.8 Wissensfragen 1. Welche Kommandos benutzt man in der Kommandozeile, um Benutzer anzulegen: zu löschen: zu ändern: 2. Welche Kommandos benutzt man in der Kommandozeile, um Gruppen anzulegen: zu löschen: zu ändern: 3. Mit welchem Administrationstool und wie können Sie unter folgenden Distributionen Benutzer administrieren? SuSE: Fedora/RedHat: 4. In welcher Datei finden sich Benutzerdaten, wie die UID, die Standard-GID, der Benutzername und die Login-Shell? 5. In welcher Datei finden sich die Paßwörter sowie die Informationen über Paßwort-Alterung? 6. In welcher Datei findet man Daten wie die Gruppennamen und ihre zugehörigen GIDs? 7. Mit welchen Kommandozeilen können Sie Dokumentation zum Dateiformat der Benutzer- und Gruppendatenbanken nachschlagen? (a) (b) (c) 8. Mit welchem Befehl können Sie unter anderem die Ablaufdaten von Paßwörtern setzen? 86

18 4.8 Wissensfragen 9. In der Gruppendatenbank bedeuten die im letzten Feld durch Komma aufgelisteten Benutzernamen die Benutzer, die die jeweilige Gruppe als Standardgruppe besitzen die Benutzer, die zusätzlich zu ihrer Standardgruppe Mitglied dieser speziellen Gruppe sind die Benutzer, die auf die Gruppendatenbank zugreifen dürfen die Benutzer, die kein Gruppenpaßwort brauchen die Benutzer, die ein Gruppenpaßwort brauchen 10. Mit welchem Kommando kann man seine aktive Gruppenkennung wechseln? 11. Mit welchem Kommando kann ich meine aktuelle Benutzeridentität und meine aktuellen Gruppenzugehörigkeiten anzeigen lassen? 12. Mit welchem Kommando kann ich zum Systemverwalter werden, und zwar so, als ob ich mich als Systemverwalter eingeloggt hätte? 13. Welche Initialisierungsdateien werden bei einer bash als Login-Shell abgearbeitet, und in welcher Reihenfolge? (a) (b) (c) (d) (e) 14. Welche Datei wird von jeder Instanz einerbash abgearbeitet? 15. Schauen Sie in diese Inititalisierungsdateien und versuchen Sie nachzuvollziehen, ob sie bei Ihrer vorliegenden Distribution existieren, und welche Aufgaben darin ausgeführt werden: 87

19 Einrichten von Benutzern 16. Mit welchem Programm kann man für einzelne Kommandos root-rechte an normale Benutzer vergeben? 17. Wie heißt die Konfigurationsdatei des Programms, und mit welchem Befehl erhalte ich Dokumentation zu dieser Datei? 18. Was versteht man unter dem Konzept der benutzereigenen Gruppen bei der Fedora/RedHat-Distribution? Welche Vorteile hat dieses Konzept? 19. In welcher Konfigurationsdatei lassen sich systemweite Einstellungen zu Standardwerten in der Benutzerverwaltung tätigen? 88

20 4.9 Übungen 4.9 Übungen 1. Richten Sie mit Kommandozeilentools die Benutzer gerd und sepp ein, und zwar so, daß automatisch ein Home-Verzeichnis mit einem Standardsatz von Initialisierungsdateien mit installiert wird! Besitzen diese Benutzer jetzt schon gültige Paßwörter, mit denen sie sich am System anmelden können? 2. Ändern Sie diese Benutzer mit einem Kommandozeilentool, indem Sie ihnen im Kommentarfeld den WertTestbenutzer setzen. 3. Richten Sie eine neue Gruppe namens test und ein Gruppenverzeichnis /home/test ein, das für diese Gruppe ein Lese- und Schreibrecht einräumt. Zusätzlich zu ihrer Standardgruppe sollen die Benutzer gerd und sepp die Gruppenzugehörigkeit test erhalten. 4. Sorgen Sie dafür, daß jede neue Datei, die in diesem Gruppenverzeichnis angelegt wird, automatisch die Gruppenzugehörigkeit zutest hat. 5. Testen Sie das Gruppenverzeichnis, nachdem Sie vorher den Benutzer mit dem Kommando su auf gerd oder sepp wechseln, so, als ob sie sich mit diesem Benutzernamen angemeldet hätten. 6. Nehmen wir an, der Benutzer sepp ist ein zuverlässiger Mitarbeiter, und Sie wollen ihm die Aufgaben der Benutzeradministration übertragen. Dazu soll er mittels sudo die Möglichkeit haben, die kommandozeilenbasierten Benutzerverwaltungstools zu benutzen, ohne daß er jedesmal sein Paßwort eingeben muß. 89

21 Einrichten von Benutzern 4.10 Lösungen 1. # useradd -m gerd # useradd -m sepp 2. # usermod -c "Testbenutzer" gerd # usermod -c "Testbenutzer" sepp 3. # groupadd test # mkdir /home/test # chgrp test /home/test # chmod g+rw /home/test # vi /etc/group... test:x:506:gerd,sepp # chmod g+s /home/test 5. # su - sepp $ id $ cd /home/test $ touch Datei $ ls -l Datei Die Gruppenzugehörigkeit der Datei mußtest sein. 6. # vi /etc/sudoers... Cmnd_Alias USERADM=/usr/sbin/user*,/usr/sbin/group*,\ /usr/bin/chage,/usr/sbin/pwck... sepp hostname = NOPASSWD: USERADM... 90

Ähnliche Dokumente
2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback